Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Operation Navy Ghost: è caccia ai clone maligni di Pyrogram

Operation Navy Ghost: è caccia ai clone maligni di Pyrogram

10 Luglio 2026 08:11
In sintesi

Gli esperti di Checkmarx hanno scoperto otto pacchetti dannosi su PyPI, mascherati da fork della libreria Pyrogram, che contenevano una backdoor per eseguire codice Python arbitrario e comandi shell sui server con bot Telegram. I pacchetti, pubblicati tra novembre 2025 e oggi, sono stati scaricati complessivamente oltre 30mila volte.

Gli esperti di Checkmarx hanno scoperto otto pacchetti dannosi in PyPI mascherati da fork della libreria Pyrogram. Una backdoor nascosta nei pacchetti consentiva agli aggressori di eseguire codice Python arbitrario e comandi shell su server con bot Telegram, leggere file e rubare segreti.

Pyrogram non è più supportato: il pacchetto non è stato aggiornato in PyPI da aprile 2023 e il suo repository da dicembre 2024. Tuttavia, la libreria rimane popolare, ricevendo quasi 350.000 download al mese e ci sono più di 1.400 fork su GitHub.

I ricercatori hanno soprannominato la campagna Operation Navy Ghost e affermano che è in corso almeno dal novembre 2025. Durante questo periodo, gli aggressori hanno pubblicato i pacchetti VLifeGram, VLife-Gram, pyrogram-navy, pyrogram-styled, pyrogram-zeeb, kelragram, sepgram e pyrogram-kelra.

Advertising
Pythonexec 5

Il più popolare aveva 16 versioni che sono state scaricate 15.370 volte. pyrogram-navy ha totalizzato 2530 download, VLifeGram – 4150, VLife-Gram – 1030, kelragram – 1041. I restanti pacchetti hanno ricevuto da 264 a 672 download.

Tutti gli otto pacchetti contenevano il codice Pyrogram originale, a prima vista sembravano normali fork del progetto. Tuttavia, gli aggressori hanno aggiunto un file secret.py al modulo helper con una backdoor, che veniva attivata durante l’importazione della libreria o l’avvio del bot.

Il malware ha registrato gestori di comandi nascosti di Telegram all’avvio del bot infetto, che hanno reso possibile l’esecuzione di codice Python o comandi shell.

Pertanto, il comando /asu consentiva di trasferire il codice Python, che veniva compilato ed eseguito sul computer della vittima.

Ad esempio, la richiesta /asu print(os.environ) espone variabili di ambiente e fornisce agli hacker l’accesso a una sessione attiva di Telegram, chat e contatti.

Advertising

Il secondo gestore, /asi, eseguiva i comandi tramite /bin/ bash. Inviando /asi cat /etc/ passwd, gli aggressori potrebbero leggere il contenuto del file /etc/ passwd. Allo stesso modo, la backdoor rendeva possibile eseguire qualsiasi altro comando con i diritti dell’applicazione infetta.

Tutti i dati risultanti sono stati inviati agli operatori di malware in Telegram. Se l’output superava i 4096 byte, il malware lo trasmetteva come documento allegato.

Allo stesso tempo, l’accesso alla backdoor era limitato a un elenco codificato di PROPRIETARI con gli ID degli account Telegram controllati dall’aggressore.



📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response